51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

老话重提:防范跨站脚本攻击

作者:佚名
安全 应用安全
本文主要介绍随着社交媒体的兴起,跨站脚本(XSS)攻击又有了新的用武之地,并且提出针对这些攻击我们新的应对方法。

今年5月,Web安全咨询师George Deglin发现了一段成功实施了攻击的跨站脚本(XSS)代码,这段代码利用了Facebook颇有争议的即时个性化功能。该代码在Facebook所选中的测试即时个性化的3个网站之一——Yelp上运行。运行该代码段,Deglin不仅获得了与Yelp共享的Facebook上的个人档案信息,而且还截获了发送档案给Facebook好友的邮箱地址——这无论对于市场销售人员还是垃圾邮件发送者来说都是一座潜在的金矿。

就在Deglin发现的XSS漏洞被修补上之后没多久,另一个XSS漏洞又在Yelp上出现,搞得Facebook只好将该网站的即时个性化程序暂时挂起来。

XSS攻击并不新鲜,但是随着社交媒体的兴起,又给了此类攻击一片新的用武之地。

XSS简单入门

最常见的XSS攻击方法就是利用邮件:犯罪分子在一个普通的URL网址中添加一些特殊字符,例如添加几个外文字符。这些字符会适时地告知运行事先制作好的脚本的Web服务器,举例来说,一个攻击者给你的网上银行的网址中添加了这样一个脚本,然后发邮件给你。假如你相信这是来自你的网上银行的合法邮件,然后点击了邮件提供的链接地址,那么你的浏览器就会给那台Web服务器发送该脚本,这台服务器上所运行的恶意代码就会截获你的浏览器cookies和你的银行登录信息,转发给攻击者,后者便可登录进你的网上银行账号。

另一类XSS攻击会将恶意代码存放在一台Web服务器上。攻击者登录比如说一家电子商务网站,然后发送一条含有XSS跨站脚本的消息。数天之后,如果你登录了这家电子商务网站,阅读了这条不良消息,就会和前一类一样,该脚本盗取你的cookies和登录信息,并将其转发给犯罪分子,而他便可以冒充你了。

第三类XSS攻击是针对Web浏览器的。在这种情形中,攻击者会在你所访问的网站上放置一个带毒的Flash文件。当你的浏览器下载这段Flash视频的时候,该文件便会触发一个跨站脚本,攻击者便可掌控你的浏览器所浏览的页面元素。

Web 2.0和XSS

今天的很多网站在过滤常见的XSS供给方面都要比过去做得好。

假设你点击了A网站上的一个广告。但是你不知道的是,该广告含有一个跨站脚本,可以悄悄地将你的浏览器定向到B网站,比如一家旅游网站和社交网站彼此合作,那么前者便可通过你的点击而轻松获得你的社交网络档案。利用XSS攻击,你就成了一个牺牲品,你甚至不必去访问B网站,登录B网站,点击它上面的任何东西,你甚至可能都不知道B网站的存在。由于B网站已经截获了你的社交网络档案(可能还有你的好友们的档案),于是犯罪分子便可以躲藏在A网站的广告后面,大摇大摆地截获你的信息了。这就是Web 2.0的聚合功能带来的麻烦,也就是Facebook-Yelp的合作为什么会出现XSS攻击的原因。

自我保护

遗憾的是,网站还无法通过连接加密简单地防范XSS攻击。有SSL连接的网站,也就是你在浏览一个加密网站时在工具栏上会出现一个小挂锁的网站,也只不过是对攻击进行了加密而已。一般来说,网站设计人员必须锁定他们的网站才能防止XSS攻击。

不过用户也有两种方法可避免XSS攻击。其一是忽略一个网站到另一个网站的链接:比如说,如果A网站链接到somerandomsite.com/page,那么你如果先要上这个网站,最好不要去直接点击该链接,而是通过搜索功能去查找该网站。这种方法可有效防止嵌入在链接网址中的XSS攻击,但是这种方法用起来不太方便,而且当两个网站共享内容时就没办法用了。另外一种方法是在你的浏览器中禁用像JavaScript脚本语言。即便因此可能会让一些网站上的一些很不错的功能没法使用,只要你还能够容忍就行。

禁止危险脚本

IE8是第一款内置了XSS脚本拦截保护的浏览器。谷歌的Chrome也会紧随其后推出类似功能。这两款浏览器都会首先查看来自某个Web服务器的脚本是否是恶意的——如果是,就拦截它。在今年4月的黑帽欧洲2010大会上,研究专家David Lindsay和Eduardo Vela Nava却演示了一种可以破除这种拦截的办法,不过谷歌已经修复了Chrome中的这个漏洞。微软则在今年1月(补丁MS10-002)和3月(MS10-018)也已解决了大部分问题,并计划在6月修复第3个漏洞,所以在你读到这篇文章的时候,破除XSS脚本拦截的问题可能已经完全解决了。

Firefox的用户则可以利用免费的NoScrpit附加组件有选择地拦截脚本。比如说,你可以放行一段Flash视频,而同时拦截该网站上的其他脚本组件。IE和Chrome在拦截可疑脚本方面没有这么细的粒度——它们是要么全拦截,要么全不拦截。

NoScrpit也有一个问题,那就是大多数用户并不喜欢放行个别脚本的做法,因为这样会带来不便。不过拦截和放行今后可能会成为你的第二天性。你还可以对某个特定网站上的所有脚本进行认证,无论是为了一次性访问还是今后的所有访问,这样的认证如今在IE 8和chrome中也可以做了。  

【编辑推荐】

  1. 详解XSS跨站脚本攻击
  2. 十二问让你全面了解跨站脚本攻击
责任编辑:许凤丽 来源: 网界网
脚本攻击XSS
相关推荐
如何在Node.js中防范脚本攻击
文将向您简单介绍跨站点脚本(XSS)攻击的基本原理,以及如何在Node.js中防范此类攻击。

2022-08-12 07:01:00

Node.jsXSS脚本
XSS脚本攻击初探
XSS跨站脚本攻击的基本原理和SQL注入攻击类似(个人观点),都是利用系统执行了未经过滤的危险代码,不同点在于XSS是一种基于网页脚本的注入方式,也就是将脚本攻击载荷写入网页执行以达到对网页客户端访问用户攻击的目的,属于客户端攻击。

2013-01-11 17:33:46

全面解析脚本攻击
跨站脚本(crosssitescripting,XSS)是一种迫使Web站点回显可执行代码的攻击技术,而这些可执行代码由攻击者提供、最终为用户浏览器加载。本文通过十二个问答,详细介绍了跨站脚本攻击。

2010-06-07 20:19:49

脚本攻击深入解析:危害及cookie盗窃
本文将详细介绍跨站脚本的危害,以及攻击者是如何诱骗受害者的;最后介绍针对跨站脚本攻击的防御措施。

2009-03-09 17:19:53

脚本攻击XSS挑战Web安全
我们今天主要向大家讲述的是跨站脚本攻击XSS“疯狂”挑战Web安全,下面就是文章的主要内容的详细解析,望大家会对其有更好的收获。

2010-09-10 14:13:11

脚本攻击的全面了解
下面的文章主要是对跨站脚本攻击的介绍,作为一个网站的业务管理者,除了欣赏自己为客户提供的丰富业务与趣味性体验时,是否也曾经想过网站会成为攻击者攻击第三方的媒介。

2010-09-09 11:19:10

解析如何防止XSS脚本攻击
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在客户端的不可信数据上来定位。

2012-11-15 09:51:36

脚本攻击请求伪造之道的解析
本文主要讲述的是跨站脚本攻击与跨站请求伪造之路的解析,同时本文也有对同源攻击所涉及的几种攻击手段的讲述,以下就是文章的主要内容讲述。

2010-09-27 17:37:10

脚本攻击:如何防止XSS漏洞?
XSS攻击可用于获得对特权信息的访问,本文讲的就是应对它们的方法。

2020-12-21 09:40:06

脚本攻击XSS漏洞
Web安全之脚本攻击(XSS)
跨站脚本攻击(CrossSiteScripting),为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

2017-06-14 16:08:31

Web安全之实战:脚本攻击XSS
今天,泥瓦匠带你们认识下XSS,然后关于怎么防御的问题。至于防御的话,仁者见仁智者见智。尔等啥都不配不上的就绰见,望各位阅读者相互讨论。泥瓦匠目前是搞JAVA的,所以例子上JAVA比较多。

2015-02-01 09:26:10

使用工具和测试防范站点脚本攻击
跨站点脚本(XSS)允许攻击者通过利用因特网服务器的漏洞来发送恶意代码到其他用户。攻击者利用跨站点脚本(XSS)攻击向那些看似可信任的链接中注入恶意代码。当用户点击了链接后,内嵌的程序将被提交并且会在用户的电脑上执行,这会使黑客获取访问权限并偷走敏感数据。攻击者使用XSS来攻击受害者机器上的漏洞并且传输恶意代码而不是攻击系统本身。

2010-01-25 10:16:49

脚本攻击与防御的详细解析
跨站脚本攻击和防御是本文所要阐述的内容,以下就是对跨站脚本攻击和防御的相关内容的详细解析,望大家会有所多收获。

2010-09-10 10:57:33

十二问让你全面了解脚本攻击
作为网站的业务管理者,在欣赏自己为客户提供的丰富业务和趣味性体验时,你是否曾经想过网站会成为攻击者攻击第三方的媒介,从而导致公信度大为受损作为一个网站的访客,你是否曾经想过在访问这个自己再熟悉不过的网站时,你的私密信息已经被他人窃取

2009-05-04 16:09:04

PHP漏洞全解(四)-xss脚本攻击
本文主要介绍针对PHP网站的xss跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。

2012-04-12 14:45:13

脚本攻击深入解析之:漏洞利用过程
在本文的上篇中,我们详细介绍了当前Web应用所采取的安全措施,如同源策略、cookie安全模型以及Flash的安全模型;而本文将介绍跨站脚本漏洞利用的过程,并对HTML注入进行深入分析。

2009-03-09 12:37:48

脚本攻击深入解析:安全模型和同源策略
在本文中,我们论述浏览器方面的安全措施,以及如何利用跨站脚本(XSS)这种常见的技术来规避浏览器的安全措施。在正式讨论跨站脚本攻击之前,我们必须首先要对现有的安全措施有所了解,所以本文将详细介绍当前Web应用所采取的安全措施,如同源策略、cookie安全模型以及Flash的安全模型。

2009-02-24 17:19:38

脚本攻击与防御的正确应用
我们今天主要向大家讲述的是脚本攻击与防御的实际操作技巧,以及对跨站脚本漏洞的成因的描述,以下就是文章的主要内容的讲述。

2010-09-10 09:18:51

ASP.NET下XSS脚本攻击的过滤方法
做WEB开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。

2012-11-09 15:42:44

从IE浏览器到Google Chrome看脚本攻击
作为插入web应用程序与浏览器之间的软件层,BluePrint使用安全的HTML元素的白名单来确定和移除不可信的内容。详细的内容请看本文的分析。

2011-06-21 16:52:48

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服